當 IPsec VPN 工作階段或通道關閉時,系統會產生警示,且 [警示] 儀表板或 NSX Manager 使用者介面的 [VPN] 頁面上會顯示關閉警示的原因。
解決方案
使用下表來找出您在 NSX Manager 使用者介面上看到的原因訊息,並檢閱關閉警示的可能原因。若要解決警示,請針對特定原因訊息和關閉警示的可能原因執行列出的必要動作。
IPsec VPN 工作階段關閉警示的原因 | 可能的原因 | 解決警示訊息的必要動作 |
---|---|---|
驗證失敗 | 由於驗證失敗,VPN 閘道之間的 IKE SA 建立失敗。IKE SA 的驗證取決於預先共用的金鑰、本機識別碼和遠端識別碼值。 |
|
未選擇任何建議 | 本機和對等組態檔案中的 IKE 轉換組態不一致。 | 確保為兩個閘道設定的下列內容相同。
|
對等已傳送刪除 | 對等閘道已起始刪除案例。已收到 IKE SA 的刪除裝載。 | 若要判斷對等閘道傳送刪除裝載的原因,請檢查 NSX Edge 和對等閘道端上的 Syslog。 |
對等沒有回應 | IKE SA 交涉逾時。 |
|
語法無效 |
|
若要對無效語法進行偵錯,請分析 Edge Syslog。 |
SPI 無效 | 在 IKE 裝載中收到無效的 SPI 值。 | 若要對無效的 SPI 值進行偵錯,請分析 Edge Syslog。 |
組態失敗 | 由於某些限制或特定準則,NSX Edge 中的工作階段組態實現失敗。原因會在工作階段傾印中的 Session_Config_Fail_Reason 下方列出。 | 使用 Session_Config_Fail_Reason 下方工作階段傾印中所顯示的原因來解決此錯誤。 |
交涉未開始 | IKE SA 交涉尚未開始。 |
|
未啟用 IPSec 服務 | 用於工作階段的 VPN 服務狀態為非作用中。 | 確認 IPSec VPN 服務組態中的 [管理狀態] 是否為已停用。 |
未啟用工作階段 | 管理員未啟用工作階段。 | 啟用工作階段以解決此錯誤。 |
SR 狀態非作用中 | SR 處於待命狀態。 | 確認 HA 對等 SR 所在 NSX Edge 節點上的 VPN 工作階段為作用中狀態。 |
IPsec VPN 通道關閉警示的原因 | 可能的原因 | 解決警示訊息的必要動作 |
---|---|---|
對等已傳送刪除 | 對等閘道已傳送 IPSEC SA 的 刪除裝載。 | 若要瞭解對等閘道傳送刪除裝載的原因,您必須檢查 NSX Edge 和對等閘道端中的 Syslog。 |
未選擇任何建議 | 本機和對等閘道組態中的 ESP 轉換組態不一致。 | 確保為兩個閘道設定的下列內容相同。
|
無法接受 TS | 由於通道組態的閘道之間的原則規則定義不相符,IPsec SA 設定已失敗。 | 檢查兩個閘道上的本機和遠端網路組態。 |
IKE SA 已關閉 | IKE SA 工作階段已關閉。 | 首先,在 Edge Syslog 中檢查工作階段關閉原因。請參閱上表中的 [必要動作] 資料行來解決工作階段關閉的錯誤,然後檢查通道關閉的原因是否仍然存在。 |
語法無效 |
|
若要對無效語法進行偵錯,請分析 Edge Syslog。 |
SPI 無效 | 在 ESP 裝載中收到無效的 SPI 值。 | 若要對無效的 SPI 值進行偵錯,請分析 Edge Syslog。 |
沒有 IKE 對等 | 所有 IKE 對等無作用。沒有剩餘的對等閘道可用來嘗試建立連線。 |
|
IPsec 交涉未開始 | IPsec SA 交涉尚未開始。 | IKE SA 尚未啟動。在 Edge Syslog 中檢查工作階段關閉的原因,並解決這些錯誤。 |